Per impostazione predefinita, un utente WordPress può accedere a un account da più posizioni contemporaneamente. Questo può compromettere la sicurezza del tuo sito WordPress multi-autore, e può sicuramente danneggiare i tuoi profitti se gestisci un sito di membership. In questo articolo, ti mostreremo come impedire agli utenti di condividere le password in WordPress bloccando gli accessi simultanei.
Come WordPress gestisce le sessioni utente?
Prima di proseguire, parliamo un po' di come WordPress gestisce le sessioni utente. Come molte altre applicazioni web, WordPress utilizza i cookie per identificare un utente connesso. Questi cookie non contengono la tua password, solo il tuo nome utente e una chiave speciale come prova che conoscevi la password.
Ora, se accedi al tuo sito da una posizione pubblica e per abitudine hai selezionato il pulsante "Ricordami", allora chiunque da quel computer può accedere al tuo sito perché WordPress consente allo stesso nome utente di accedere da due posizioni diverse.
Questo è un po' problematico per la sicurezza, ma può anche essere dannoso per gli affari se gestisci un sito di membership che vende contenuti premium.
Gli utenti possono semplicemente condividere la loro password con i loro amici e utilizzare le stesse informazioni di accesso per consumare i tuoi contenuti a pagamento.
Non sarebbe bello se potessi impedire agli utenti di rimanere connessi allo stesso account da più posti?
Recentemente, quando un utente ci ha posto questa domanda, abbiamo cercato e trovato un plugin che impedisce gli accessi simultanei.
Impedire accessi simultanei e condivisione di password in WordPress
Tutorial video
Se non ti piace il video o hai bisogno di ulteriori istruzioni, continua a leggere.
La prima cosa da fare è installare e attivare il plugin Prevent Concurrent Logins. Funziona subito e non ci sono impostazioni da configurare.
Puoi testare il plugin in azione accedendo al tuo sito WordPress da due browser diversi sul tuo computer o utilizzando la modalità privata / in incognito.
Quando provi ad accedere al tuo sito con lo stesso nome utente e password sul secondo browser, potrai accedere con successo. Tuttavia, il plugin terminerà la vecchia sessione e facendo clic su qualsiasi link nella finestra del browser precedente verrai reindirizzato alla pagina di accesso.
Tutto qui. Speriamo che questo articolo ti abbia aiutato a imparare come impedire agli utenti di condividere password in WordPress bloccando accessi simultanei. Potresti anche voler consultare la nostra guida su come monitorare l'attività degli utenti in WordPress con Simple History.
Inoltre, un promemoria amichevole: le password possono essere hackerate. Se vuoi evitarlo, devi usare password robuste sul tuo sito WordPress. Potresti anche voler forzare password robuste per tutti gli utenti sul tuo sito WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro Canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Google+.
Dwayne
Voglio consentire la condivisione delle credenziali utente, ma voglio impostare quante sessioni sono consentite. Quindi voglio dare accesso alle risorse creando un account, 1 account e specificando che sono consentite solo 20 sessioni attive. Se arriva la sessione 21, l'accesso viene negato. C'è qualcosa che lo permette?
Mike
Questo non impedisce davvero a qualcuno di condividere il proprio nome utente e password con qualcun altro. Impedisce solo che vengano effettuati accessi contemporaneamente.
Toon van der Struijk
Ho testato il plugin 'Prevent Concurrent Logins' ma sono in dubbio sul suo effettivo utilizzo.
La cosa che mi preoccupa di più è che ogni nuova sessione viene favorita rispetto a una vecchia (esistente).
Ciò significa che un utente che ha effettuato correttamente l'accesso viene bloccato non appena qualcun altro accede con le stesse credenziali. A mio parere, questo non è molto user-friendly e in realtà dovrebbe funzionare al contrario.
Quando un utente (B) tenta di accedere utilizzando le stesse credenziali di un utente (A) che è già connesso, l'utente B dovrebbe ricevere un avviso che l'accesso con tali credenziali non è possibile al momento perché qualcun altro (utente A) le sta utilizzando.
Questo mantiene l'utente A connesso
Staff di WPBeginner
Sì, anche quello sarebbe un buon titolo. L'idea del post è nata da un utente preoccupato che i suoi utenti premium stessero condividendo le password con i loro amici. Questa è una preoccupazione importante per molti proprietari di siti che offrono contenuti premium, download e siti di appartenenza. Speravamo che questo titolo li avrebbe aiutati.
Eric Mann
Ero un po' confuso da questo articolo quando ho iniziato a leggere. Con "impedire agli utenti di condividere le password", immaginavo che stessi spiegando un modo per prevenire password duplicate nel database (il che, di per sé, sarebbe una massiccia vulnerabilità di sicurezza). Mi sono confuso di nuovo quando hai iniziato a parlare di sessioni utente, ma poi tutto è diventato chiaro.
Forse un titolo migliore sarebbe "Come impedire agli utenti di condividere le sessioni di accesso"? È un po' più mirato a ciò di cui tratta l'articolo.
Daryl Griffiths
Esattamente quello che mi serviva per il mio sito intranet, da affiancare al plugin 'disconnessione per inattività'.